Oct 10

DiamondCS最出名的软件应该是ProcessGuard,最好的行为判断类型的安全防护软件,其实它们还有很多很好的免费软件,本文将一一介绍。这是继本站Nirsoft Software Collection一文后,第二篇以软件公司为单位介绍免费软件的文章,以后也将继续推出类似文章,把这些优秀的小公司小软件推荐给大家。

具有图形界面的免费软件:

ProcessGuard Free Version
ProcessGuard的免费版本,强大的内核级别的安全软件,从注册表以及应用程序行为方面保护您的系统安全;
Advanced Process Termination (APT)
几乎没有什么应用程序能抵挡APT的杀进程方式。APT有将近20种不同的内核&用户模式来终止进程,如果APT不能杀掉的进程,那么其他软件也不可能杀掉。
Advanced Process Manipulation (APM)
通过插入进程来获取控制权。APM是一个进程/模块管理工具,它通过注入目标进程使其成为目标的一部分,从而有效的给予你足够的权限来控制这些进程,甚至可以通过它加载你自己的DLLS链接库文件。
File & Folder Unlocker
这个工具可以搜索并且解锁使用中/已打开/被锁定的文件以及文件夹,同时显示哪个进程导致了锁定。支持由网络打开而锁定的文件解锁。
RegistryProt
一个流行的轻量级注册表监视软件,它保护一些重要的注册表键值,包括大部分自启动项目;
ASViewer
允许你实时查看管理超过50个不同的自启动项项目。
DelLater
如果当前不能删除使用中的文件,你可以通过DelLater在系统启动后删除它们。
CSView
轻量级的CSV (Comma-Separated Values) 文件查看软件。支持压缩的XCSV文件,可以输出为BMP或者HTML格式。
IRClean
清除mIRC蠕虫的软件.
MD5
校验MD5的小软件。

命令行工具:

系统工具:

CmdLine
显示所有系统进程的详细命令行参数,包括名称,路径等等;
FolderMon
监视自定义文件夹(包括子文件夹)的文件活动,可以监视整个硬盘;
DelayExec
延迟执行某个应用程序;
Procs
列举(完整路径和ID)系统进程,中止进程,可以列举模块;
Windows
完全控制窗口,包括子窗口父窗口,列出这些窗口并且允许修改它们;
CPUInfo
显示相关处理器的信息。支持多处理器,支持显示处理器序列号,速度,名称,功能等;
Drivers
列举当前系统所有驱动器,完整的镜像路径和基础地址。
ErrorDesc
显示十进制和十六进制的出错代码对应的出错描述;

网络:

OpenPorts
显示当前系统所有TCP和UDP端口使用对应的应用程序
HTTPGet
命令行工具下载HTTP/FTP服务器上的文件;
Whois
Whois查询命令行版本;
Adapters
显示当前系统所有网络适配器信息,包括MAC地址,描述,IP地址,DHCP信息等;
GetIP
连接互联网查询本机真实IP地址;
EnumIPs
显示所有本地IP地址,包括广播地址和掩码信息;

用户信息:

WhoAmI
显示当前计算机名,用户名,IP地址,以及权限状态;
IsAdmin
显示当前用户名并且判定是否具有管理员权限;

MS-DOS:
注解: 以下工具可以运行在Windows的命令行窗口或者MS-DOS实模式(或者虚拟环境)

BIOSDump (MS-DOS)
显示以及保存系统BIOS信息;
MemDump (MS-DOS)
读取常规内存的内容(0000:0000 - FFFF:FFFF);

文件工具:

FindAll
快速且强大的文件内容搜索工具,支持Unicode,大小写敏感,子目录搜索等;
StrDump
在文本文件中快速搜索字符串,可用于消除垃圾代码;
HexDump
以传统的十六进制格式保存任意文件的内容;
MD5
命令行版本的MD5工具;

日期 & 时间:

CityTime
方便快速的查询城市时间,支持世界范围200个主要的城市;
UpTime
查看当前计算机运行时间,精确到秒;
DateDiff
计算两个日期间间隔的天数;



Aug 29

通常很多关于网站不能访问的问题都出在DNS解析上面。不正确的DNS服务器设置,指向的DNS服务器负荷过大或者失效,某些ISP在DNS服务器上面做了“劫持”,等等,都会影响我们对目标网站的访问。

本文将介绍怎么在个人计算机(WINDOWS服务器,XNIXS可能有更好地选择)上面建立本地带缓冲的DNS服务器。并且也将介绍怎么去简单的测试一个DNS服务器的执行效率。


1.建立本地DNS服务器:

首先下载TreeWalk这个软件的最新版本。它是一个支持多处理器并且对个人用户免费的DNS服务器软件。我们只需要使用默认安装,安装完毕以后,启动TWDNS这个服务,本地DNS服务器就可以工作了。按照官方介绍,需要手动设置网络界面的首选DNS为1 27.0.0.1(在2000系统中由于是保留地址,需要借助另外的工具来设置),但是其实最新版本在安装完毕以后已经通过更加底层的方法把首选DNS设置成了127.0.0.1,不需要用户的介入。要测试是否如此,请在命令行打入:

nslookup bbs.et8.net

查看返回的信息,就可以知道当前使用的DNS服务器。通常默认的配置就可以满足基本的要求,你已经在使用一个不依赖ISP,并且带有缓存功能的DNS本地服务器。但是如果你想对配置有更加深入的了解,请打开:
%SystemDriver%:\%SystemFolder%\system32\dns\etc\named.conf 这个文件。

下面是这个文件中一些参数的中文说明:


 /* TreeWalk master config*/
......
// the private (LAN) network space //定义你的私有(信任)网络
acl "privlan" { 127.0.0.0/8; 10.0.0.0/8; 169.254.0.0/16; 192.168.0.0/16; 172.16.0.0/20; };

// our own private subnets
acl "private" { 127.0.0.0/24; 192.168.0.0/16; 192.168.0.0/16; };

listen-on port 53 { 127.0.0.1; }; //需要绑定的监听端口和网络界面地址,如果要在局域网使用,可以添加 192.168.0.1 等更多
listen-on-v6 { none; };

allow-query { "private"; }; //允许进行查询地网段,就是你上面设置的信任地址

forward first; //设置转发。如果你不使用root-hints查询,将这行的注释取消,然后在下一行添入你自定义的DNS服务器地址。这样的话TreeWalk就是纯粹的一个DNS缓冲器。(如果这样做的话,你将不能绕过你的ISP对某些地址所作的“劫持”)
forwarders { 202.96.134.133; 202.96.128.166; }; //你定义的DNS服务器。
tcp-clients 500; //查询TCP最大连接数
max-cache-size 4m; //缓存大小。


2.测试DNS服务器的效率

我们使用下面的工具来测试DNS服务器:DNSRU

DNS Benchmarking & Research utility 会在一段时间内发出大量的DNS请求来测试DNS服务器的工作状况。工具已经非常古老,而且会提示测试时间已到,请使用“时光倒流”或者“永不过期”在Google搜索相应的工具来解除这个限制。例如:SoftSea.net 所列出来的工具,都是免费的。

运行DNSRU后,点击它的Benchmark标签进行测试。程序会自动找到本机的首选,辅助DNS服务器进行测试。结果会是如下图:

  • "Cached Name" 表示从被查询的DNS服务器本地缓存查询的结果。
  • "Uncached Name"表示从被查询的DNS服务器本地缓存不能获得查询结果,次服务器向另外的DNS服务器查询的结果。
  • "DotCom Lookup" 查询DotCom这种特殊域名的结果。
  • Min,Max,Avg分别表示各个项目的最小,最大和平均查询时间;Std.Dev是随机抽取地址的查询时间;Reliab%是可靠程度,这个可以看出被测试的DNS服务器查询总量/成功的百分率。

从测试图可以看出本地DNS服务器的稳定性和可靠程度比ISP的要高;而且这还是在凌晨时间的测试结果,如果在上网高峰器,本地DNS服务器稳定性还会下降。

关于最近流行的 OpenDNS ,YsKin已经做过一些心得测试,你也可以用上面的方法从数据上了解一下是否合适。

关于TreeWalk的更多应用请参考它的主页:ntcanuck.com

附送两个同类软件:Posadis DNS serverSANS DNS server


Aug 28

我们曾经介绍过 关于Windows的自启动项,但是用户如何去监视这些内容不被恶意程序修改?当然我们不能天天打开注册表去看。

以下译自 Wilders Security Forums 的文章,详细的对比了当前几个流行的注册表监视软件,希望对你抗击恶意程序有所帮助。(注:通常来说注册表监视软件与杀毒软件以及防火墙可以配合使用)

以下可以监视注册表启动键值的程序,大多都是免费软件。每个软件侧重的监视键值都有所不同,我们来做一个比较:

图示

'+' 表示: 键值 (包括启动组) 被软件监视
'L' 表示: 软件只监视 HKLM 子键
'U' 表示: 软件只监视 HKCU 子键
'HK**' 表示: 软件监视 HKLM 和 HKCU 子键
*** 表示: 按照 L 的深度实时监测子键

列表条目类型:

(K) 表示键值, 包括数据和子键都被监测
(v) 表示只监测某个键值数据的改变
(M) 表示监测多个键的不同数据
(?) 表示目前未知

软件名缩写:

1 SM: Mike Lin's Startup Monitor (free)
2 RP: DiamondCS Registry Prot 2.0 (free)
3 RD: RegDefend 1.0 (shareware) [Wilders forum]
4 RR: Regrun 4 Gold Pro (shareware) [see also]
5 TT: Spybot Search and Destroy Teatimer (free)
6 SS: System Safety Monitor (free)
7 GA: Microsoft Antispyware = Giant Antispyware (free)
8 WP: Winpatrol
9 MJ: MJ Registry Watcher 1.2.3.8 (free) [Wilders thread]

后面的 链接s 表示曾经在这个键发现过木马或者其它恶意程序,以供参考。


自启动:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
+ + + + + + + + + (K) HK**\SW\MS\Windows\CV\Run(Once) 链接
- + - + - - - - + (K) HKLM\SW\MS\Windows\CV\RunEx
- + - - - - - - + (K) HKLM\SW\MS\Windows\CV\RunOnce\Setup 链接
- + + + - + + + + (K) HKLM\SW\MS\Windows\CV\RunOnceEx 链接
- - - + + + L + + (K) HK**\SW\MS\Windows\CV\RunServices(Once) 链接
- - + + - - + - + (v) HKCU\SW\MS\Windows\CV\Explorer\Shell Folders\Startup 链接
- - - + - - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\User Shell Folders
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Explorer\ShellExecuteHooks 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\SharedTaskScheduler 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows\CV\ShellServiceObjectDelayLoad 链接
- - - - - - - - + (?) HKLM\SW\MS\Windows\CV\app management\arpcache\ 链接
- - - + - - - - + (K) HKLM\SW\MS\Active Setup\Installed Components 链接
- - - ? - - - - + (M) HKLM\SW\MS\Active Setup\Installed Components\***\StubPath 链接
- + - + + + + - + (K) HKLM\Software\CLASSES\#file\shell\open\command (#=exe,com,pif,bat) 链接
- - - + - + + - + (K) HK**\SW\MS\Windows\CV\policies\Explorer\Run 链接
- - + + - - - - + (v) HKLM\System\CCS\Control\Session Manager\BootExecute 链接
- - - + - - - - + (K) HKLM\System\CCS\Control\Session Manager\FileRenameOperations 链接
- - - - - - - - + (K) HKLM\System\CCS\Control\Session Manager\KnownDLLs 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\PendingFileRenameOperations 链接
- - + - - - - - + (v) HKLM\System\CCS\Control\Session Manager\environment\path
- - - - - - + - + (K) HKLM\System\CCS\Control\lsa 链接
- - + + - + - - + (K) HKLM\System\CCS\Services 链接
- - - + - + - - + (M) HKLM\System\CCS\Services\***\Image Path
- - - - - - - - + (K) HKLM\System\CCS\Services\vxd 链接
- - - + - - + - + (K) HKLM\System\CCS\Services\WinSock2 链接
- - - - + - + - + (K) HKLM\SW\MS\Code Store Database\Distribution Units\ 链接
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Shutdown
- - - + - + - - + (?) HKLM\SW\Policies\Microsoft\Windows\System\Scripts\Startup 链接
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logon
- - - + - U - - + (?) HK**\SW\Policies\Microsoft\Windows\System\Scripts\Logoff
- - - + - - - - + (v) HKCU\Control Panel\Desktop\scrnsave.exe 链接
- - - - - - - - - (K) HK**\SW\MS\Windows NT\CV\Extensions
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\load
- - - L - - ? - ? (?) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\run
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\win.ini\Winlogon
- - - L - - L - + (v) HK**\SW\MS\Windows NT\CV\IniFileMapping\system.ini\boot\shell
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Run 链接
- - + + - - - + + (v) HKCU\SW\MS\Windows NT\CV\Windows\Load 链接
- - L + - - - - + (K) HK**\SW\MS\Windows NT\CV\Winlogon 链接
- - L + - - L - + (v) HK**\SW\MS\Windows NT\CV\Winlogon\UserInit 链接
- - + + - + + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Shell 链接
- - + - - - - - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\Taskman
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Winlogon\Notify 链接
- - - + - - - - + (K) HKLM\SW\MS\Windows NT\CV\Svchost ASP&NoWebContent=1" rel="external"">链接
- - + + - + - - + (v) HKLM\SW\MS\Windows NT\CV\Windows\APPINIT_DLLs 链接
- - - - - - - - + (M) HKLM\SW\MS\Windows NT\CV\Accessibility\Utility manager\***\Application path
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\WOW\boot 链接
- - - - - - - - + (K) HKLM\SW\MS\Windows NT\CV\Shell Extensions\Approved 链接
- - - - - - - - + (K) HKEY_CLASSES_ROOT\Protocols\Filter 链接
- - - - - - - - + (K) HKLM\SW\Classes\Protocols\Filter 链接
- - - - - - - - + (K) HK**\SW\classes\mailto\shell\open\command 链接
- - - - - - - - + (v) HKCU\SW\MS\Command Processor\AutoRun 链接
- - - - - - - - + (K) HK**\SW\MS\ole 链接
- - - - - - + - - (v) HKCR\ftp\shell\open\command\(Default)
- - - - - - + - - (v) HKCU\ftp\shell\open\command\(Default)
- - - - - - - - + (K) HKLM\System\CCS\Control\MPRServices 链接
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J


安全设定:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - - - - - - - + (K) HKLM\SW\MS\Windows\CV\Explorer\Advanced 链接
- - - - - - - - - (K) HKLM\SW\MS\Windows\CV\WindowsUpdate 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Explorer 链接
- - - - - - + - - (K) HKLM\SW\MS\Windows\CV\policies\Explorer\RestrictRun 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\System 链接
- - - - - - - - + (K) HK**\SW\MS\Windows\CV\policies\Network 链接
- - - - - - - - - (K) HKLM\SW\MS\Security Center 链接
- - - - - - - - - (K) HKLM\SW\Policies\Microsoft\Windows\WindowsUpdate 链接
- - - - - - + - + (v) HKLM\SW\MS\Windows NT\CV\Winlogon\DefaultPassword

微软浏览器恶意劫持程序:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + + - + - + (K) HKCU\SW\MS\Windows\CV\Explorer\Browser Helper Objects 链接
- - - - - - L - + (K) HK**\SW\MS\Internet Explorer\Toolbar 链接
- - - - U - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\WebBrowser 链接
- - - - - - U - + (K) HK**\SW\MS\Internet Explorer\Toolbar\ShellBrowser
- - - - U - + - + (K) HK**\SW\MS\Internet Explorer\Explorer Bars\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\MenuExt\ 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Local Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Page 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Search Bar 链接
- - - - U - + - + (v) HK**\SW\MS\Internet Explorer\Main\Start Page 链接
- - - - U - L - + (K) HK**\SW\MS\Internet Explorer\Search\ 链接
- - - - U - - - + (K) HK**\SW\MS\Internet Explorer\SearchUrl\ 链接
- - - - - - - - + (K) HK**\SW\MS\Internet Explorer\Styles 链接
- - - - - - L - + (K) HKLM\SW\MS\Internet Explorer\AboutURLs 链接
- - - - - - + - + (K) HK**\SW\MS\Internet Explorer\extensions
- - - - - - - - + (K) HKCU\SW\MS\Internet Explorer\extensions\cmdmapping 链接
- - - - - - + - - (K) HKCU\SW\MS\Internet Explorer\URLSearchHooks 链接
- - - - - - - - - (K) HK**\SW\MS\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\Internet Settings\SafeSites 链接
- - - - - - + - - (M) HKCU\SW\MS\Windows\CV\Internet Settings\Zones\***\CurrentLevel
- - - - - - + - - (K) HKCU\SW\MS\Windows\CV\Internet Settings\ZoneMap\Domains
- - - - - - - - + (K) HKU\.default\SW\MS\Internet Explorer\extensions\cmdmapping
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\DefaultPrefix 链接
- - - - - - + - + (K) HKLM\SW\MS\Windows\CV\URL\Prefixes 链接


可能发生恶意事件的键值:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- + - - - - + + + (K) HKCU\SW\MS\Windows\CV\RunOnceEx
- - - - - - - - + (K) HKCU\SW\Policies\Microsoft\Windows\safer\codeidentifiers
- - - - - - - - + (K) HK**\SW\MS\Windows NT\CV\IniFileMapping
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\
- - - - ? - - - + (K) HK**\SW\MS\Internet Explorer\Main\
- - - - - - - - + (K) HKLM\System\CCS\Services\WinSock2\Parameters
- - - - - - - - + (K) HKCU\SW\MS\Windows\CV\Explorer\fileexts
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\OpenWithList
- - - - - - - - + (M) HKU\***\SW\MS\Windows\CV\Explorer\fileexts\***\Application
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\Run(Once)
- - - - - - - - + (K) HKU\***\SW\MS\Windows\CV\RunServices(Once)
- - - - - - - - + (K) HKCR\Protocols\Filter\Class Install Handler


特色内容:
1 2 3 4 5 6 7 8 9
S R R R T S G W M
M P D R T S A P J
- - + + - + - - + ¦ *** Monitors any user configured reg. keys ***
- - - - - - - - + ¦ Monitors user configured keys based on wildcards
- - + + - + - + + ¦ Monitors any user configured file associations
+ + - - + + - - + ¦ Is free
- - + - - + - - + ¦ Displays complete list of monitored keys
- - - + - - - + + ¦ Displays the content of autostart entries
+ + - + + + + + + ¦ Works by polling the registry content every x seconds
- - + - - - - - - ¦ Works by intercepting registry change attempts
- - ? + + + - - + ¦ Also monitors deletions from registry
- - - - - + + - + ¦ Auto-undos the change before displaying popup dialog
- - + - - + ? - - ¦ Is also a kind of sandbox
+ + ? + + - + + + ¦ Monitors some files for changes
- - ? ? - + - - - ¦ Survives certain termination attempts

以上大多数都是可以实现自启动的键值,还有一些也是你不想被恶意程序修改的地方。.

如果你发现其中有错误,或者们某些软件(像是 Ad-Watch)增加了监视的内容,请告知。

你还可以使用 Sysinternals Autoruns 这个免费软件来查看自启动程序列表. 注意: 它不是一个注册表监视器.

访问一下地址获取更多关于注册表键值的知识和解释:

http://forums.subratam.org/index.php?showtopic=1063
http://www.diamondcs.com.au/index.php?page=autostarts
http://www.giantcompany.com/antispyw...manifests.aspx
http://research.pestpatrol.com/White...rtingPests.asp
http://www.cpcug.org/user/clemenzi/t...Hijackers.html
The NT booting process

Registry,Monitor,Comparison,Freeware


Aug 26

虽然说都步入Vista时代了,不过命令行始终有它独特的魅力,下面要推荐的3款软件都是多窗口的命令行Windows版本,嗯,它们都支持Visual Style(这是我最不能容忍系统CMD窗口的地方>_<)。

第一个是 JPSoft TCI - Tabbed Console Interface

The player will show in this paragraph

可在一个多页面窗口内同时运行多个控制台程序 (比如4NT, CMD, bash, Monad, 等等.).

  • 可连接或断开某个控制台进程;
  • 在各个控制台页面间复制粘贴数据;
  • 通过定制工具条快捷方式向各个页发送命令数据;

下载:



第二个是: PowerCMD


高度可定制的界面配置;

高亮显示搜索结果;

显示命令行的环境参数;

自动完成功能;

可以集成到资源管理器右键菜单中,随时调用它;

历史记录以及自动完成功能;

全方位的文字编辑功能。

下载:



最后一个Console是免费软件(Freeware),所以功能上比较简单,不过一般也足够用了:


Aug 26

Tor 大家都熟了吧,无数的集合版本让它普及的很快。不过 Tor 致命的缺陷就是速度太慢,而且现在有很多“陷阱”节点。

嗯,如果你也觉得 Tor 太慢,可以试试 Your Freedom 。

Your Freedom 是一款类似 Tor (其实我觉得它更像 JAP),是欧洲(德国?)某公司开发的用于穿透防火墙和内容过滤的代理软件。

与 Tor 做简单比较的话,YF 的优点主要体现在绝大多数情况下它比 Tor 要快(深圳电信),而且本身直接支持 HTTP 和 Socks 代理,图形界面设置比较方便,也支持二级代理。

缺点呢,你必须安装 SUN JAVA 1.4.2 +,这东西有 10 几 M ...程序本身倒是不大,1 M 多吧,而且使用前你必须(免费)申请一个帐号(是否通用未知)。

下面介绍如何使用它:

1、在 YF 的网站上 注册 一个用户,需要电子邮件验证,所以不能乱填;
2、下载 并安装YF;
3、运行,使用向导建立最基本的配置,如果上网环境不涉及代理,基本不用改动什么,让它自己查找最合适的节点群;
4、默认参数就能很好的工作,HTTP 代理开在 8080 端口,SOCKS 开在 1080 端口,当然你也可以 DIY

补充下,有防火墙的要允许 JAVAW.EXE UDP/TCP 出站。